ZKsync, 5 Milyon Dolar Değerindeki Çalıntı Token’ı Geri Aldı

Katman-2 Ethereum ölçekleme çözümü olan zkSync, 15 Nisan 2025 tarihinde büyük bir güvenlik ihlali yaşadı. Protokolün airdrop sürecini yöneten yönetici cüzdanı, kötü niyetli kişiler tarafından ele geçirildi. Saldırgan, “sweepUnclaimed()” adlı akıllı sözleşme işlevini istismar ederek toplamda 111 milyon adet ZK token üretti ve yaklaşık 5 milyon dolar değerindeki varlıkları zimmetine geçirdi. Bu miktar, toplam ZK arzının yaklaşık yüzde 0,45’ine denk geliyor.

Olayın ardından zkSync ekibi, güvenlik ortağı SEAL ile hızlı bir müdahale gerçekleştirdi. Ekibin yaptığı açıklamaya göre, saldırının yalnızca yönetici cüzdanı ile sınırlı olduğu ve kullanıcı fonlarının doğrudan etkilenmediği belirtildi. Airdrop’a ait sözleşmelerin denetimi yapıldı ve “sweepUnclaimed()” fonksiyonu kalıcı olarak devre dışı bırakıldı.

Saldırının hemen ardından ZK token fiyatı hızlı bir şekilde yüzde 18 düşerek 0,040 dolara kadar geriledi, ancak gün içinde biraz toparlanarak 0,046–0,047 dolar aralığında işlem gördü. Bu olay, Katman-2 protokollerinde yönetici erişiminin güvenliği ve airdrop mekanizmalarının şeffaflığı konularını yeniden gündeme taşıdı.

Ancak sürecin sonunda beklenmedik bir gelişme yaşandı. zkSync ekibinin hacker’a sunduğu “bounty” (ödül) teklifini kabul etmesinin ardından, saldırgan çaldığı tokenların yüzde 90’ını geri iade etti. Bu geri ödeme, 23 Nisan tarihinde üç ayrı işlem halinde ZKsync Güvenlik Konseyi cüzdanına gerçekleştirildi. Hacker, geri kalan kısmı “beyaz şapkalı” etiketiyle ödül olarak aldı.

Geri alınan varlıkların toplam değeri, olaydan bu yana ETH ve ZK fiyatlarının artışı sayesinde, saldırının olduğu zamandaki değerden bile daha yüksek bir seviyeye ulaştı. zkSync, olayla ilgili nihai teknik raporun hazırlandığını ve topluluğa detaylarıyla paylaşılacağını duyurdu. Toplumda genel görüş, zkSync ekibinin şeffaf iletişimi ve etkili kriz yönetimi sayesinde daha büyük bir güven krizi önlendiği yönünde. Fonların geri alınması ve hacker ile uzlaşma yolunun seçilmesi, benzer durumlar için örnek bir “etik hack” senaryosu oluşturuyor. Ancak bu olay, yüksek düzeyde merkezileşmiş yapıların açık kaynaklı finans sistemlerinde nasıl ek riskler taşıyabileceğini bir kez daha gözler önüne serdi.